Veracode เผยมีแอปถึง 42% กำลังแบกรับหนี้ด้านความมั่นคงปลอดภัย

‘หนี้’ คือสิ่งที่เราต้องชดใช้เข้าสักวัน เช่นเดียวกับหนี้ทางความมั่นคงปลอดภัย ที่แอปพลิเคชันกว่า 42% กำลังแบกอยู่ โดย Veracode ผู้ให้บริการด้านความมั่นคงปลอดภัยของซอฟต์แวร์ ได้เผยผลสำรวจที่น่าสนใจจากการตรวจสอบแอปพลิเคชันนับล้านตัว

Veracode ได้วิเคราะห์ซอฟต์แวร์ราว 1,553,000 ตัวด้วยการทำ Dynamic Analysis และ 11,429,365 ด้วย Static Analysis ซึ่งผลลัพธ์พบว่า

• องค์กรราว 46% ยังคงมีหนี้ทางความมั่นคงปลอดภัยที่จัดอยู่ในระดับร้ายแรง
• ช่องโหว่ 63% เกิดขึ้นจากโค้ดของตัวเอง ซึ่งช่องโหว่ประเภท Known จะได้รับการแก้ไขด้วยระยะเวลาราว 7 เดือน
• ช่องโหว่จาก 3rd Party มีจำนวนมากกว่าโดยคิดเป็นสัดส่วนราว 70% แถมยังใช้เวลาแก้ไขนานกว่าด้วยระยะเวลาถึง 11 เดือน
• 70% ของช่องโหว่ในแอปพลิเคชันสัมพันธ์กับสิ่งที่ปรากฏใน OWASP Top 10 แต่อีกด้านหนึ่งที่เกี่ยวข้องกับ CWE จะมีแอปพลิเคชันราว 41% ที่มีช่องโหว่ตามคำแนะนำเหล่านี้
• แอปพลิเคชันราว 64% ที่สามารถขจัดช่องโหว่ร้ายแรงออกไปได้ นั่นแสดงถึงความสามารถในการแก้ไขช่องโหว่ และการจัดอันดับความสำคัญ ซึ่งในบรรดาช่องโหว่จำนวนมากนั้น มีเพียง 3% ที่เข้าขั้นร้ายแรงที่องค์กรต้องให้ความสำคัญเป็นลำดับแรก

ในอนาคต AI อาจจะมีบทบาทเข้ามาช่วยแบ่งเบาภาระการค้นหาและแก้ไขช่องโหว่ได้ แต่ในทางกลับกันคนร้ายก็สามารถใช้ AI เพื่อผลลัพธ์อีกด้าน ซึ่งหากฝ่ายพัฒนาทำได้อย่างรวดเร็วหนี้ด้านความมั่นคงปลอดภัยเหล่านี้ก็จะลดลงอย่างมีนัยสำคัญ รวมถึงการพัฒนาตัวเองสู่วัฒนธรรม DevSecOps ก็คือสิ่งที่จะช่วยลดภาระหนี้ที่เกิดขึ้นได้

ที่มา : https://devops.com/veracode-report-shines-spotlight-on-massive-application-security-debt/ และ https://betanews.com/2024/02/14/42-percent-of-applications-suffer-from-security-debt/